Lyssna

4. Härda systemen

För att minska exponeringen ska informationssystem ha så få aktiva tjänster, protokoll och nätverkskopplingar som möjligt. De tjänster, protokoll och nätverkskopplingar som inte behövs för informationssystemets funktion ska stängas av, tas bort eller blockeras.

Ett informationssystem exponerar vanligtvis ett flertal tjänster mot de nätverk det är anslutet till. Varje tjänst består av mjukvara med tillhörande protokoll för att ge funktionalitet. All mjukvara innehåller sårbarheter som kan innebära en möjlig väg in för en angripare. Ju fler tjänster och protokoll som är tillgängliga desto fler möjliga sårbarheter.

I synnerhet bör sådana informationssystem som är avsedda för att exponeras externt, t.ex. webb- eller DNS-servrar härdas. Efter en standardinstallation har de ofta fler tjänster och protokoll aktiverade som standard än vad som behövs för informationssystemets funktion.

I många tjänster och protokoll finns programkomponenter med avsikt att vara bakåtkompatibla med äldre informationssystem. Det betyder att efter uppgraderingar installerats behöver de extra tjänsterna och protokollen avaktiveras. Att installera uppgraderingar är trots arbetsinsatsen som krävs viktig då äldre versioner ofta är mer sårbara än nyare versioner.

Rekommenderat arbetssätt

Härdning innebär att de operativsystem, inbyggda programvaror, nätverkskomponenter, databaser och andra applikationer som ingår i ett informationssystem konfigureras på ett så säkert sätt som möjligt. Funktioner och tjänster som inte behövs i it-miljön stängs av, blockeras eller tas bort från informationssystemet. Det gäller även protokoll som finns aktiverade för en eventuell bakåtkompatibilitet, men som inte behövs för att få önskad funktion.

Aktivera lokal brandvägg på både klientdatorer och servrar och tillåt bara nödvändig nätverkstrafik.

Ta råd från leverantörerna i hur produkterna kan härdas och kan konfigureras till att ha en hög säkerhet. Stora leverantörer har i många fall sådana råd publicerade, även om kvaliteten på rekommendationerna kan vara svår att bedöma och varierar utifrån tillverkarens ambitionsnivå.

Tänk på

  • För att identifiera sårbarheter och angreppsvägar som kan användas för att utnyttja informationssystem är det viktigt att planera och genomför regelbundna säkerhetstester och säkerhetsgranskningar, som initieras både utanför och innanför
  • Alla informationssystem i it-miljön behöver härdas: mobiltelefoner, nätverksenheter, servrar, arbetsstationer, skrivare, molntjänster, IP-telefoner m.fl.